Devido a um erro ao organizar o cache no sistema de entrega de conteúdo, ao tentar baixar um dos assemblies anteontem liberação corretiva Uma versão prévia que não contém todas as correções. Problema arquivar apenas , conjunto distribuído corretamente.
Todos os usuários que baixaram o arquivo “Python-3.5.8.tar.xz” nas primeiras 12 horas após o lançamento são aconselhados a verificar a exatidão dos dados baixados usando a soma de verificação (MD5 4464517ed6044bca4fc78ea9ed086c36). Ao contrário da versão final, a versão prévia não incluiu vulnerabilidades no código do servidor XML-RPC. A vulnerabilidade permitiu a injeção de JavaScript (XSS) através do campo server_title devido à falta de escape de colchetes angulares. Um invasor pode conseguir a substituição do JavaScript se o aplicativo definir o nome do servidor com base na entrada do usuário (por exemplo, "server.set_server_name('test ’)»).
Fonte: opennet.ru